Lo que plantea el caso es si para la obtención de una dirección IP directamente de eMule se exige autorización judicial, cuando este dato lo hace público el usuario por el mero uso del programa. No obstante, hay algo más, no sólo se trata de la dirección IP, sino también de su vinculación con un identificador de fichero (hash) como fuente del mismo. En este asunto se trataba de imputar un delito de facilitación de difusión de pornografía infantil, pues la acusada compartió material de este tipo mientras se lo descargaba en su equipo. Aún cuando se eliminen dichos ficheros, el identificador del usuario de eMule y la IP de su equipo quedan asociados a los mismos, al menos durante un tiempo en el servidor. Se le puede seguir la pista, lo que no significa necesariamente que exista un acceso o intromisión en el ordenador de dicha persona para recabar esta información.

Por un lado, podría discutirse la validez en juicio de la información que proporciona el servidor de eMule en cuanto a las fuentes de los ficheros y sus direcciones IP (cuestión que también pregunta David Maeztu), así como si, al identificar la IP a un equipo informático, realmente el titular de la conexión a Internet es el responsable de los actos que se hagan con el mismo. El primer punto me parece más interesante, pero lo último no se suele discutir, aceptándose que el uso del equipo se realiza bajo la responsabilidad de dicha persona.

El Tribunal Supremo cita la doctrina del caso Malone del Tribunal Europeo de Derechos Humanos de 1984, reconocida también por el Tribunal Constitucional en una sentencia de 20 de mayo de 2002, según la cual los números de abonado en las comunicaciones telefónicas también están protegidos por el secreto de las comunicaciones. Aún cuando no se entrara en el contenido de las comunicaciones, la obtención de la información relativa a la existencia y momento de la comunicación telefónica requeriría autorización judicial. Se argumenta conforme a dicha doctrina en el sentido de que en realidad haría falta, para que se considerara una injerencia ilegítima, que se llegara a averiguar la identidad de las personas en concreto, no simplemente el número de teléfono. La actuación policial en este supuesto no es, por tanto, contraria a lo anterior, ya que en el momento en que se quiso averiguar la identidad de los titulares de la conexión a Intenet sí se solicitó autorización judicial.

La exclusión de la dirección IP del secreto de las comunicaciones quedaba clara con el artículo 12 de la LSSI en su redacción anterior a la vigente y, posteriormente, por la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (ésta no aplicable al momento de los hechos), así que entiendo que la sentencia es conforme con el marco legal en este punto. La autorización a la que se refiere la Ley 25/2007 habría que exigirla cuando los datos estén en poder de los prestadores de servicios de la sociedad de la información, y parece absurdo solicitarla cuando el usuario los hace accesibles y no se requiere ninguna injerencia para su obtención.

Se señala en su Fundamento Segundo:

Visto el panorama jurisprudencial y legislativo y trasponiéndolo al caso que nos ocupa se puede concluir lo siguiente: […]

b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.

Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3º C.E.

En cualquier caso, la postura oficial de la Agencia y el Supervisor Europeo de Protección de Datos es considerar que las direcciones IP son un dato personal, quedando protegidas por dicha regulación. Voy a pensar que la sentencia tiene incoherencias y que realmente también lo cree.

Lo que no puedo compartir es que el hecho de que el usuario haga público ese dato permita o justifique su captación y cualquier uso posterior, lo que parece deducirse del texto, por las peligrosas consecuencias que podría tener. De todos modos, como bien señala Sergio Carrasco, deben aplicarse a este caso las previsiones del artículo 22 de la LOPD para la recogida y tratamiento de datos para fines policiales por las Fuerzas y Cuerpos de Seguridad del Estado, que evitan solicitar el consentimiento de los afectados.

En conclusión, comparto la fundamentación de la sentencia en su mayor parte, con la advertencia de que la justificación del procedimiento seguido no puede extrapolarse a otros supuestos en los que se trate de investigar la comisión de otros ilícitos a partir de una dirección IP.

ACTUALIZACIÓN (11-06-2008): La sentencia del Supremo ya está disponible para todos los públicos en la web del CGPJ.

En cuanto a lo primero, si la fotografía es nuestra (somos los autores) y lo que ha ocurrido es que otra persona ha decidido colgarla en Internet, existe un acto de comunicación pública (art. 20.2.i) de la LPI), que requiere autorización. Dado que esa fotografía no es una obra sino una mera fotografía, no existen derechos morales, por lo que la ley permite la transformación de la misma. Esto supone que, desde la perspectiva de la propiedad intelectual, pueden hacerse montajes a partir de un original o de varios, sin perjuicio de lo que comentaré a continuación, y ya no se requerirá ese consentimiento del autor. Creo que no debería dar ideas. Quizá sea una obviedad recordar que si somos nosotros lo que salimos en la foto, el autor (quien podrá ejercer los derechos) probablemente será otra persona.

Por lo que se refiere al derecho al honor, intimidad y propia imagen, viene regulado por la Ley Orgánica 1/1982, de 5 de mayo, que desarrolla el artículo 18 de la Constitución y establece un procedimiento específico para la protección de este derecho. Entrará en juego esta normativa cuando las imágenes se refieran a la vida privada (no hace falta que sean de contenido sexual), se utilicen con fines publicitarios, comerciales o de naturaleza análoga, o bien se lesione su dignidad por la imputación de hechos o juicios de valor, a menos claro que haya existido consentimiento para la divulgación o difusión de las imágenes por parte de las personas implicadas. Como ejemplo, esta es la vía que utilizó Ramoncín contra alasbarricadas.org. Como señala la AI, existen excepciones, siendo la aplicable a la mayoría de personas que la imagen en cuestión se refiera a un suceso o acontecimiento público en el que el hecho de que aparezca la persona en ella sea algo meramente accesorio (digamos que aparece por casualidad porque pasaba por ahí).

Los menores de edad tienen una protección especial. Se sigue requiriendo el consentimiento para el uso de imágenes referidas a ellos, añadiendo a la intimidad y al honor de todo adulto, la protección de sus intereses o su desarrollo personal. El consentimiento prestado por el menor puede ser válido en atención a sus condiciones de madurez, pero si no quieren correr riesgos solicítenlo directamente a sus representantes legales (padre/madre o tutor). Conviene saber, de todos modos, que el consentimiento aquí no evita que en cualquier caso puediera apreciarse una intromisión ilegítima. No sólo el Ministerio Fiscal puede actuar de oficio, sino también el Defensor del Menor u otros organismos estatales o autonómicos con competencias en asuntos sociales, que podrán solicitar medidas cautelares y ejercer las correspondientes acciones de cese y rectificación, a los que igualmente se puede dirigir una denuncia para que intervengan.

Desde el punto de vista de la protección de datos, la imagen es sin duda un dato de carácter personal. El tratamiento del mismo (manipulación, transmisión,…) requiere el consentimiento del afectado (o de sus representantes legales), que además debe haber sido informado con anterioridad a la obtención de la imagen de lo que se va a hacer con ella. La publicación de datos a través de Internet se considera una cesión, que por tanto será ilegal si no ha sido autorizada. En estos casos, al margen de que debamos ejercer nuestros derechos (acceso, cancelación, rectificación u oposición) ante el responsable del fichero, que probablemente no será identificable fácilmente o bien no lo tendrá declarado, el órgano al que dirigir la denuncia es la Agencia Española de Protección de Datos, o bien las correspondientes autonómicas en caso de ficheros titularidad de las Administraciones Públicas (en realidad sólo cuando ejerzan competencias públicas, pero eso es otra guerra).

El Código Penal viene a reforzar la protección de algunas conductas anteriores.

La conducta previa a la difusión de las imágenes, consistente en el apoderamiento de las mismas (las tenemos nostros y efectivamente nos las cogen o roban) o bien el empleo de mecanismos para su captación, será perseguible por vía penal (prisión de uno a cuatro años y multa de doce a veinticuatro meses), incrementándose la pena si ha habido difusión de las mismas, como sería por Internet, o bien si las imágenes son relativas a salud o vida sexual de una persona (en realidad como dato personal sería también extensible, con matices, a imágenes sobre ideología, religión, creencias u origen racial), o ésta es menor de edad.

El elemento subjetivo, en estos casos la intención de descubrir los secretos o vulnerar la intimidad de otro, o el ánimo de lucro en algunos subtipos agravados, es muy importante y deberá ser demostrado. En muchos casos esto es lo que separará el ámbito penal del civil o el administrativo.

Para perseguir estos delitos se requerirá denuncia del agraviado o su representante legal, salvo en caso de menores o incapaces, donde podrá intervenir el Ministerio Fiscal. También en este último caso, el perdón del ofendido (o sus representantes) no extinguirá la responsabilidad criminal.

En caso de imágenes de menores de tipo sexual, en otra ocasión ya hablé de estos temas, y las conductas van desde la utilización previa de éstos hasta la producción de los contenidos, su distribución o incluso la mera posesión de dicho material, así como la omisión del deber de socorrer a quienes se encuentren en esta situación y la pseudopornografía infantil (art. 189.7 del Código Penal). En este punto no se pierdan el análisis del Loli-Con de David Maeztu.

La Consulta 3/2006, de 29 de noviembre de 2006 (.doc), de la Fiscalía General del Estado, sobre determinadas cuestiones respecto de los delitos relacionados con la pornografía infantil, analiza la respuesta penal de diversas conductas relativas a esta materia y fija criterios uniformes para el resto de Fiscales. Es llamativo que no se haya hablado de esto cuando sin duda son los delitos de la red que mayor rechazo social producen.

Los tipos penales que se comentan son los siguientes:

• La utilización de menores o incapaces para elaboración de material pornográfico, o la financiación de dichas actividades (189.1.a del Código Penal).
• La producción, venta, distribución o exhibición de material pornográfico en cuya elaboración hayan sido utilizados menores de edad o incapaces, la facilitación de dichas actividades, o la posesión de estos materiales con dichos fines (189.1.b del Código Penal).
• La mera posesión de material pornográfico en cuya elaboración se hubieran utilizado menores de edad o incapaces (189.2 del Código Penal).

Quedan otras figuras sin analizar (obligar a un menor o incapaz a realizar actos de naturaleza sexual, la omisión del deber de socorrer a quienes se encuentren en esta situación y la denominada pseudpornografía infantil o pornografía virtual infantil) dado que no son motivo de la consulta. Se hace especial incidencia en cómo la evolución de Internet ha transformado la difusión de estos contenidos, pasándose de servicios de pago, en los que el consumidor adquiría este material al distribuidor, a redes de intercambio gratuito, donde los usuarios muchas veces no tienen contacto entre sí, y en las que el consumidor se convierte a la vez en distribuidor. Esto es lo que motivó la reforma del artículo 189 por medio de la Ley Orgánica 15/2003, de 25 de noviembre (que recordemos también modificó los delitos contra la propiedad intelectual).

Lo que se plantea es, cuando en los casos de los tres tipos anteriores (189.1 y 2) hubiera varios menores o incapaces implicados, si debemos apreciar tantos delitos como menores o incapaces, o bien debemos entender que se ha cometido un único delito, independientemente del número de implicados. La solución que se propone no es la misma en todos los casos, ya que los bienes jurídicos protegidos (bienes o valores sociales dignos de protección) son distintos.

El tipo delictivo del artículo 189.1.a implica directamente a menores de edad, a los que se involucra en actividades sexuales con fines o intereses pornográficos, lo que puede afectar negativamente al desarrollo de su personalidad, a su proceso de formación, así como a su integridad física y psíquica. En este sentido, el bien jurídico protegido sería la indemnidad sexual del menor, principalmente, aunque también su intimidad y propia imagen y la dignidad de la infancia. Salvo en esto último, se trata de bienes personalísimos de menores concretos, luego habrá que entender que se cometerán tantos delitos como menores estuvieren implicados.

Las restantes conductas (difusión o posesión del material pornográfico), tienen lugar con posterioridad a la consumación del ataque contra la libertad o indemnidad sexual del menor, luego éstos no podrán ser los bienes jurídicos protegidos en estos casos. Se trata de actividades que contribuyen o perpetúan el ataque contra la dignidad del menor, cuya punición se basaría en su peligrosidad en tanto favorecedoras de posibles futuras agresiones o abusos de menores a través del fomento de la pedofilia. En definitiva se trataría de reaccionar penalmente contra el potencial de estímulo de explotación sexual de los niños que éstas implican.

Por tanto, los bienes jurídicos protegidos serían la seguridad de la infancia en abstracto y su dignidad, como barrera de protección frente a conductas pedofílicas. En este sentido, la conducta es única con independencia del número de menores o incapaces que aparezcan en dichas imágenes. Desde un punto de vista de la proporcionalidad, parece ser ésta la opción más adecuada, pues de lo contrario la punición de estos actos podría llevar, en la práctica, a superar con creces la respuesta penal de los casos del artículo 189.1.a.

No obstante, la solución no termina de convencerme. Aunque no sucede así con la mera posesión de imágenes, la difusión de fotografías sobre menores concretos entiendo que sí lesiona dignidades concretas cuando éstos sean identificables, lo que no veo por qué no debe tener cabida en esta norma. Si realmente la Fiscalía cree que el bien jurídico protegido es abstracto, no tiene mucho sentido que admita, por otro lado, una graduación de la pena en función de que exista una pluralidad de menores, ya sea aplicando el subtipo agravado del 189.3.c o dentro de la propia extensión de la pena, pues este dato sería irrelevante.

Por lo que se refiere a las conexiones con la intimidad del menor, esto se regula a parte (artículo 197 del Código Penal), motivo por el cual la Fiscalía entiende no forma parte de estas figuras (eso dice al final, aunque al principio del documento sí la incluye en el tipo del 189.1.a). En los delitos contra la intimidad, no obstante, se exige no sólo que las imágenes se hubieren obtenido de forma subrepticia (lo que nos obliga a valorar hasta qué punto puede ser un menor de edad consciente de dicha grabación), sino que se tuviera conocimiento de esta circunstancia. La Fiscalía considera que, sólo cuando se acredite lo anterior, en mi opinión difícil puesto que además el distribuidor no ha participado en dichos actos, se apreciará asimismo un delito contra la intimidad (concurso ideal).

En los restantes casos, no sólo no se apreciará lesión contra la intimidad, sino que el hecho de que el bien jurídico protegido sea abstracto elimina el concepto de perjudicado. Esto sonará muy materialista, pero lo cierto es que, al margen de que los padres de las víctimas de estos delitos lo primero que esperan es ver al culpable entre rejas, también es justo que se reciba una indemnización económica por el perjuicio causado. Esto, común a otros delitos de lesiones, se elimina en este supuesto.

Las penas para la difusión de pornografía infantil van de uno a cuatro años de prisión. Con un poco de suerte, el individuo no sólo no irá a la cárcel sino que no le costará ni un céntimo.

España ocupa el tercer lugar en el ranking de los países de todo el mundo en el que más se comete fraude on-line.

Así lo enuncia la Primera Campaña contra el robo de identidad y el fraude on-line llevada a cabo en España, promovida principalmente por Panda Software. Se ofrece la descarga gratis de un antivirus así como información sobre qué tipo de ataques se pueden sufrir.

La nueva regulación amplía la responsabilidad penal por los accesos no autorizados a ordenadores o a los datos contenidos en éstos y por las actividades que perjudiquen el funcionamiento de un ordenador, criminalizando también a quienes desarrollen, adapten, faciliten o pongan a disposición mecanismos (programas o datos en soporte informático) con el propósito o a sabiendas de que se utilizarán con las finalidades anteriores.

Centrándonos en lo último, es inevitable comparar esto con las herramientas prohibidas de la Ley Orgánica 15/2003, en la que además se contemplaba la simple tenencia de dispositivos naturalmente ordenados al mal.

Veámoslo como dos modos de enfrentarnos a un problema:

a) Atendemos a la voluntad del individuo, el propósito (dolo) de producir un perjuicio, sea como sea el dispositivo (bueno, malo o regular), o bien
b) Prescindimos totalmente de los elementos subjetivos de la conducta del individuo (da igual qué es lo que quería hacer) para centrarnos directamente en la maldad intrínseca del dispositivo.

Con los penalistas tan brillantes que tenemos en este país, qué vergüenza caer en un error de segundo de carrera.

La sección 113 de dicha ley modifica la configuración del acoso por teléfono, ampliándolo finalmente a aquellos supuestos en que una persona envíe, anónimamente, una comunicación por Internet con la intención de molestar a otra, frente a la propuesta que se barajaba antes y que exigía la producción de un daño emocional sustancial.

Tal como se comenta en Techdirt, la vaguedad de lo que se puede considerar “molesto” puede convertir los comentarios de los trols de Internet en ilegales, lo que se penaría con dos años de cárcel.

(Jorge, estás avisado)

ACTUALIZACIÓN (10-01-2005): Según algunos comentaristas de la noticia en Boing Boing, el artículo de News.com no es del todo correcto, indicando que, en realidad, la regulación anterior del acoso telefónico ya prohibía las comunicaciones con la intención de molestar, por lo que la nueva ley únicamente ampliaría esto al ámbito de Internet (aunque ya había jurisprudencia que la había extendido a estos supuestos). Más opiniones y comentarios también en Concurring Opinions.

Dear Friend,

I am Barrister Susan Long, an attorney at law. I am the Personal Attorney to Mr. Andreas Schranner (of the blessed memory), a national of Germany, who used to be a Crude Oil Explorer in Nigeria. Herein after shall be referred to as my client.

On July 25 2000, my client Mr. Andreas Schranner, his wife Maria, their daughter Eich and husband Christian and their two children perished in the Air France Concorde, new York bound flight; Please Click here and find out what happened to the family. Since then I have made several enquires to his embassy to locate any of my clients extended relatives, this has proved rather unsuccessful. I have therefore contacted you to assist in repatriating the money and property left behind by my client before they get confisticated or declared unserviceable by the bank in which his fund were deposited.

Particularly, the Bank where the deceased operated an account valued to the tune of $36 million US dollars has issued me a notice to provide the next of Kin or have the account revoked within the next ten official working days.

Since I have been unsuccessful in locating the relatives for over 2 years now I solicit your consent to present you as the next of kin of the deceased so that the proceeds of his account can be paid to you and then you and I can share the money to a ratio of 6:4.

I have all the necessary legal document that can be used to back up any claim we may make. All I require is your honest cooperation to enable us see this deal through. I guarantee that this will be executed under a legitimate arrangement that will protect you from any breach of the law.

Best Regards,
Barrister Susan Long
Telephone:234-806-364-1153
Reply To. susanlong@centrum.cz

Más o menos viene a decir que la firmante tiene el cometido de localizar a los parientes de un ciudadano alemán que falleció en el accidente del Concorde, que lleva dos años busca que te busca sin éxito, lo que es un problema porque la herencia del finado asciende a 36 millones de dólares y claro, se van a perder. Tenemos que movernos rápido porque sólo quedan diez días.

La propuesta es -legalmente hablando- turbia, pero la jugosa recompensa bien merece el riesgo. Se trata de hacerse pasar por pariente del Sr. Schranner y así cobrar la herencia. Afortunadamente, la aplicada compañera ya tiene todo el papeleo resuelto y garantiza que la operación se realizará de forma legítima.

En fin, parece increible que la gente pueda caer en estas cosas (a pesar de que, en ocasiones, los hechos y personajes sean reales, lo que añade un toque de mal gusto), pero se calcula que cada año se estafan unos 200 millones de dólares sólo a ciudadanos de EE.UU.. En España, si todavía no ha picado nadie, ya lo harán. Tenemos phishing (a pesar de lo torpes que resultan a veces), así que no hay por qué pensar que esto no se va a dar.

Para conocer el alcance y patrones habituales, vean la web de 419eater, grupo organizado que lucha contra de estos delincuentes con imaginación y sentido del humor (no se pierdan esta historia).

Quizá a algunos les parezca una estupenda idea, a pesar de que se prescinda de los más elementales derechos en materia de protección de datos y, lo que es más grave, de la reinserción y de la cancelación de antecedentes penales. He encontrado información de crímenes cometidos en 1985, aunque probablemente los haya anteriores. La información, en ocasiones, es completísima, llegando incluso a facilitar datos referidos a la empresa para la que trabajan y la dirección de ésta.

En España incluso los más indeseables tienen derechos. No es así en ese país, donde se permite que una empresa privada recopile esa información, que se obtiene directa o indirectamente (a saber qué significa esto) de organismos gubernamentales, y comercie con ella. Las bases de datos de dicha empresa (sujetas a copyright) abarcan otros delitos, eso sí, de pago. Me llama la atención la justificación del servicio público que ofrecen.

Las infracciones que contempla la Decisión Marco son las siguientes:

1) Acceso ilegal a los sistemas de información, definido como el acceso intencionado sin autorización al conjunto o a una parte de un sistema de información, es decir, el hacking, actualmente conducta atípica según el Código Penal español. Se deja al margen de los Estados regular si será perseguible sólo cuando se transgredan medidas de seguridad. Veremos por qué opta el legislador español. No se trata ya sólo de que el término hacker se esté prostituyendo, como se señalaba hace pocos días en Barrapunto, perdiendo su sentido original, sino que ahora se les considerará, directamente, delincuentes.

2) Intromisión ilegal en los datos, consistente en todo acto intencionado, cometido sin autorización, de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información. Actualmente podría entenderse regulado en el artículo 264.2 del Código Penal español como delito de daños. Nuestra regulación incluso va más allá, contemplando la comisión por imprudencia en los términos del artículo 267.

3) Intromisión ilegal en los sistemas de la información, que consiste en todo acto intencionado y si autorización para  obstaculizar o interrumpir, de manera significativa (he aquí un margen de discrecionalidad) el funcionamiento de un sistema de la información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos. La Decisión Marco regula esta conducta previamente a la anterior, aunque yo entiendo que en realidad constituye una figura agravada de aquélla en tanto que incluye un elemento volitivo (la intencionalidad del autor de obstaculizar o interrumpir el funcionamiento del sistema de la información). Como tal, tampoco está regulada en nuestro Código Penal.

La Decisión Marco prevé además, sin perjuicio de la responsabilidad penal de los infractores, la responsabilidad de las personas jurídicas que hayan resultado beneficiadas por dichas conductas, a las que se les impone un deber de vigilancia y control, que no se concreta. Las sanciones previstas para las personas jurídicas contemplan incluso la posibilidad de prohibición definitiva del ejercicio de actividades comerciales.

Se exceptúa de esta resposabilidad a los Estados, organismos públicos que ejerzan prerrogativas estatales y organizaciones internacionales de derecho público. Según esto, si un funcionario cometiera estas infracciones no sería responsable la entidad en la que presta sus servicios aún cuando ésta resultara beneficiada, que tampoco tendría por qué controlar lo que hace su personal.